Professional Documents
Culture Documents
Grupo: 233001_8
INGENIERIA DE SISTEMAS
CALI
2017.
INTRODUCCION
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el
cual permite a los empleados conectarse a los sistemas de informacin casi desde cualquier
lugar, se pide a los empleados que lleven consigo parte del sistema de informacin fuera
de la infraestructura segura de la compaa.
Un sistema informtico puede estar protegido desde su punto de vista lgico o fsico. Otras
de las amenazas que se pueden presentar proceden desde programas dainos que se
instalan en la computadora conocidos con el nombre de virus.
Un sistema seguro debe ser ntegro debe contar con informacin modificable slo por las
personas autorizadas, confidencial sus datos tienen que ser legibles nicamente para los
usuarios autorizados, innegable ya que el usuario no debe poder negar las acciones que
realiz y tener buena disponibilidad es decir debe ser estable.
HABILITADORES COBIT 5
ISO 27000 ISO/IEC 27000: Es un conjunto de estndares desarrollados por ISO e IEC, que
proporcionan un marco de gestin de la seguridad de la informacin que puede utilizar
cualquier tipo de organizacin, pblica o privada, grande o pequea.
Norma ISO 27001: Es una norma internacional emitida por la Organizacin Internacional
de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una
empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y fue desarrollada
en base a la norma britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de
lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas
del mundo en el tema y proporciona una metodologa para implementar la gestin de la
seguridad de la informacin en una organizacin. Tambin permite que una empresa sea
certificada; esto significa que una entidad de certificacin independiente confirma que la
seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento
con la norma ISO 27001.
Caracterstica:
Permite realizar el seguimiento y revisin del desempeo y eficacia del SGSI. o La mejora
continua basada en la medicin de objetivos
Tabla comparativa
CARACTERISTICAS COBIT ISO 27001 ITIL
Gobierno de TI, que es el Seguridad de la informacin Gestion de servicios TI, ITIL,
sistema por el cual se rigen y sintetiza un extenso conjunto de
contolan las TI en las procedimientos de gestin, para
Ambito
organizaciones. ayudar a las organizaciones a lograr
calidad y eficiencia en las
operaciones TI.
Gobierno de TI que indica las Asegura la seleccin de los Deficicion de todos los procesos
reglas y procedimientos, para la controles de seguridad relacionados con la administracion
Orientacion toma de decisiones sobre las TI. adecuados y proporcionados de TI.
para proteger la
informacin.
Consta de 4 dominios, 34 Consta de 39 objetivos de Consta de dos libros centrales, que
procesos de tecnologias de control y 133 controles. cubren las areas de soporte del
Tamao informacin y 318 objetivos de servicio y prestacin del servicio.
control
Esta orientada al gobierno de TI, Es necesario para su xito el Lo complejo y costoso que resulta
por esta razn no es tan fuerte compromiso total de la su implementacion en grandes
en seguridad. direccion y una definicion organizaciones, la gran dificultas
clara del alcance. de mantener actualizada y
Debilidades
perfectamente funcionando la
CMDB Configuration Management
Data Base y el control de cambios.
Un profesional de seguridad informtica es una persona que debe mantener ante todo un
gran sentido de confidencialidad y responsabilidad, tambin debe disponer de valores
humanos y profesionales como la tica y ser muy autodidacta, una persona que ejerza y
tenga la responsabilidad de la seguridad de la informacin en una organizacin debe tener
y dominar estos factores:
* Conocer profundamente los diferentes sistemas operativos que engloban el ecosistema
de la computacin, entre ellos sistemas de cdigo abierto y propietarios, comprender y
configurar sistemas de redes de comunicacin, y manejar diferentes tipos de lenguajes de
programacin, como orientados a objetos, a entornos web, mviles, entre otros.
* Conocer los mtodos COBIT, ITIL y las normas 27000 y 27001 que permitan realizar
concurrentes auditorias de seguridad y aplicar mtodos para mantener normas altas de
seguridad de la informacin.
* Conocer y aplicar mtodos preventivos que permitan estar al tanto de las amenazas,
tambin mtodos correctivos como la desinfeccin de los datos y la recuperacin de los
mismos.
Seguridad Fsica
Los recursos fsicos comprenden una base fundamental en cada organizacin pues es
donde se trata, se almacena y se guarda la informacin, entre los recursos fsicos que se
encuentran en una empresa estn:
La seguridad tecnolgica se define como una serie de medidas adoptadas con el objetivo
de salvaguardar los datos y la informacin ms importante, como tambin, el conjunto de
software que maneja esta informacin.
Las polticas de seguridad permiten a las empresas asegurar los datos y los recursos
tecnolgicos de una forma ms controlada y segura, pues las aplicabilidades de estas
normas evitan que usuarios mal intencionados puedan acceder a la informacin sin
autorizacin, o que los empleados realicen acciones que comprometan la integridad y
disponibilidad de los datos, entre las polticas de seguridad aplicadas estn,
Se trata de un modelo que pretende aplicar controles en seguridad para proteger los datos
en diferentes capas, tal como muestra la siguiente imagen:
La idea de este modelo es muy sencilla: si es posible proteger a un activo de la organizacin
con ms de una medida de seguridad, sera lo ideal. El objetivo de este modelo se basa en
que para que un atacante llegue a un dato o informacin, debe poder vulnerar ms de una
medida de seguridad.
As, se presentan varias capas donde es posible aplicar diversos controles. Por ejemplo,
aunque un servidor est protegido por usuario y contrasea (capa equipo), eso no quita que
no se implementen medidas de acceso por contrasea a las aplicaciones que estn
instaladas en el equipo (capa aplicacin), o que no se apliquen controles como proteccin
por llaves para que no sea sencillo acceder al equipo (capa permetro fsico). Citando otro
ejemplo, el tener instalado una software antivirus en los puestos de trabajo no es motivo
para dejar de controlar la presencia de malware en los servidores de transporte como puede
ser un servidor de correo. Dos capas de proteccin siempre ofrecern mayor seguridad que
una sola.
Como toda implementacin de un control de seguridad tiene un costo asociado, y por lo
tanto ser necesario evaluar si el valor de la informacin a proteger justifica una, dos, tres,
o las capas de seguridad que sean necesarias. Pero mientras los costos lo justifiquen, el
modelo pretende proteger la informacin sensible de forma tal que un atacante si llegara a
sortear algn mecanismo de seguridad, esto no sea suficiente para llegar a la informacin
corporativa.
1. Firewalls
2. Antivirus
3. Redes privadas virtuales (VPN)
4. Segmentacin
5. Contraseas Complejas para Usuarios Administrativos
6. Contraseas complejas para usuarios estndar
7. Contraseas complejas para usuarios de acceso remoto
8. Contraseas complejas
9. Creacin de contraseas para administradores
10. Paquetes de administracin
11. Archivo con la bitcora del uso
12. Proceso de creacin para parches
13. Terminales de trabajo
Un sistema de control de acceso digital son los diferentes mecanismos para identificar
a un usuario y validar que verdaderamente es el usuario quien dice ser, a estos dos
procesos se les conoce como identificacin y autenticacin. Para realizar este proceso
de identificacin y autenticacin de una persona, existen diferentes medios, vamos a
describir algunos de ellos:
- Lector de Huella
- Costo: $1298.900 COP
- Referencia: http://articulo.mercadolibre.com.co/MCO-434388064-lector-de-huella-
digital-4500-digital-persona-garantia-1-ano-_JM
Integridad
Confidencialidad
Ejemplo: Retomando el ejemplo de la cuenta bancaria, cada persona titular de una cuenta
tiene acceso a la informacin de su cuenta, saldos, deudas, productos, entre otros, sera
una falla de confidencialidad que dicha informacin por algn motivo ya sea error de
manipulacin o error no voluntario, quedar expuesta y que personas ajenas al titular de
dicha cuenta pudieran tener acceso a la misma.
Disponibilidad
Ejemplo: Continuando con el ejemplo de la cuenta bancaria, el cliente debe poder tener
acceso a su informacin financiera, estados, reportes, movimientos, entre otros, siempre
que el lo requiera, garantizando as la entidad financiera un canal de comunicacin seguro,
ya sean portales web, lneas de atencin o incluso oficinas presenciales.
Black Hackers
Los black Hackers o Hackers negros son llamados los chicos malos o los que rompen
la seguridad de un computador, servidor, red y crean Virus. Estos buscan
vulnerabilidades o errores humanos. La motivacin de los expertos es el dinero, de los
principiantes es el reconocimiento
White Hackers
Los White Hackers o Hackers Blanco son los chicos buenos, los ticos. Regularmente
son los que penetran la seguridad de sistemas para encontrar
vulnerabilidades. Algunos son consultores de seguridad, trabajan para alguna
compaa en el rea de seguridad informtica protegiendo los sistemas de los Black
Hackers.
Es probable que en todas las profesiones tengas personas que se dediquen hacer
actividades no autorizadas o ilcitas, puede pasar que un hacker realice actividades nocivas
en una red. Sin embargo, hemos investigado que el creador de Linux es llamado Hacker y
esta actividad no es denominada delito, antes beneficio al mundo, por ejemplo, google
tienen sus servidores con este sistema operativo. En Colombia tenemos comunidades de
hacker, como: La comunidad dragonjar
Escriv, G. G., Romero, S. R. M., & Ramada, D. J. (2013). Seguridad informtica. Madrid, ES:
Macmillan Iberia, S.A.. Retrieved from http://www.ebrary.com
. https://www.dragonjar.org/
www.isaca.org